Publiek-private samenwerking cruciaal in aanpak cyberaanvallen
Publiek-private samenwerking cruciaal in aanpak cyberaanvallen. Dit stelt cybersecurity specialist Fox-IT in eeb blog op zijn site. Fox IT meldt:
De afgelopen dagen zijn diverse Nederlandse banken en ook de Belastingdienst getroffen door DDoS-aanvallen. De aanvallen hebben impact gehad op gebruikers van internetbankieren en bezoekers van de website van de Belastingdienst. Over de aard en de herkomst van deze aanvallen zijn weinig details bekend. Ondanks dat zijn deze aanvallen goed te gebruiken om de uitdagingen te illustreren die we als maatschappij moeten aangaan op het vlak van cybersecurity.
Is dit een represaille op de onthullingen van Nieuwsuur en de Volkskrant?
Op basis van de timing is het een voor de hand liggende uitleg, maar dat blijft speculatie. Ervaringen uit het verleden laten zien dat cyberaanvallen vaker gebruikt zijn direct na een nieuwswaardige of controversiële situatie. Denk aan de zaak met de Turkse minister Kaya die in maart 2017 niet mocht landen op Rotterdam The Hague Airport. Direct daarna werd de website van de luchthaven bestookt met een DDoS-aanval. In de dagen daarna werden diverse websites ‘defaced’ met Turkse teksten.
Toen in 2015 de Turken een Russische straaljager uit de lucht schoten, werd dat beantwoord met DDoS-aanvallen op Turkse doelen. Banken, overheidswebsites en websites van TV zenders waren voor lange duur onbereikbaar. Maar bewijs dat dit een directe represaille is voor bepaalde acties is nog nooit geleverd.
Denk ook aan ‘lone wolves’ die op hun zolderkamer vanuit onvrede een aanval starten. Dat laat maar weer eens zien dat attributie zonder keihard bewijs bijna niet te doen is in deze gevallen. De timing is echter verrassend, maar hard bewijs ontbreekt. Je zou ook kunnen denken aan individuen, criminele groeperingen of zelfs andere staten die gretig gebruik kunnen maken van dit moment. De verdenking wordt dan al snel bij Rusland gelegd, terwijl elk bewijs ontbreekt. Kortom: gevaarlijk spel.
Waarom wordt er gebruikgemaakt van DDoS-aanvallen?
Een DDoS-aanval is een vrij gemakkelijke manier van online aanvallen: waarbij in de meeste gevallen de pakkans heel klein is door de technische aard van deze aanvallen. Online zijn DDoS-aanvallen zo te koop of zelf op te zetten als je enige kennis van zaken hebt. Daarbij zijn DDoS-aanvallen misschien wel het moeilijkste qua attributie. De keren dat opsporingsinstanties een hacker achter een DDoS-aanval konden arresteren kwam doordat de aanvallers over hun acties opschepten tegen ‘vrienden’ of de aanval zelfs opeisen op sociale media, zoals Twitter. Dat geeft opsporingsinstanties een beginpunt voor hun onderzoek. Als dat niet gebeurt, is het vaak zoeken naar een speld in een hooiberg. DDoS-aanvallen zijn verder een populair middel bij afpersingen, als middel om een chaos te creëren of om gewoon te ‘irriteren.’ Over het motief van de DDoS-aanvallen van de afgelopen dagen kunnen we alleen maar speculeren.
Hebben de getroffenen hun beveiliging wel op orde?
De vraag stellen of de getroffen organisaties hun beveiliging wel op orde hebben is wat ons betreft de verkeerde vraag, op basis van deze aanvallen waar we nu de effecten van zien. Je effectief verdedigen tegen DDoS-aanvallen is complex en vereist nauwgezette samenwerking tussen meerdere partijen in een keten. Het is dan ook zelden zo simpel als “een oplossing kopen” en daarmee het probleem de wereld uit helpen.
De juiste vraag is dus niet: hebben we af en toe wel een last van DDoS-aanvallen, maar zijn we flexibel genoeg om effectief in te spelen op aanvallen die continu veranderen, zowel qua grootte als qua technische aard. Dat er daarbij af en toe impact is, is een gegeven dat we allemaal moeten accepteren.
De financiële sector staat er om bekend dat ze een van de meest volwassen sectoren is op het vlak van cybersecurity. De banken hebben ook de afgelopen jaren veel gedaan op dit gebied. Sinds 2013 wordt er door de sector intensief samengewerkt aan digitale veiligheid, onder meer door het uitwisselen van informatie. Tegelijkertijd is er geen land in Europa waar zoveel mensen gebruikmaken van online bankieren. De druk op de banken is daarmee groot om het online bankieren veilig te maken maar tegelijkertijd simpel en gebruiksvriendelijk te houden voor hun klanten.
Wat kunnen we doen tegen DDoS-aanvallen?
Feit is dat aanvallers hun cyberaanvallen, en dus ook DDoS-aanvallen, steeds verder ontwikkelen. Werd eerst vooral gebruikgemaakt van verkeerd geconfigureerde servers, tegenwoordig hebben hackers een uitgebreid netwerk van onbeveiligde IoT-apparaten zoals beveiligingscamera’s tot hun beschikking. Wij, aan de verdedigende kant moeten dus ook in beweging blijven en ons blijven ontwikkelen.
Daarbij komt dat cybersecurity in sommige gevallen niet alleen iets is dat alleen een individuele organisatie en haar klanten aan gaat. In het geval van bijvoorbeeld de financiële sector, de Belastingdienst en DigiD gaat het ons allemaal aan, als maatschappij. Het is tijd dat we daar een eerlijke en open discussie over hebben. Niet alleen over de dreiging, maar ook over wat onze gezamenlijke tolerantie is voor wat er mis kan gaan.
Publiek-private samenwerking is cruciaal om aanvallen als deze te kunnen bestrijden en op te lossen. Samenwerking tussen de overheid, vitale infrastructuur, internet service providers en het bedrijfsleven, maakt de samenleving steeds digitaal veiliger.
